基于异常行为监控的僵尸网络发现技术研究

僵尸网络作为近年来危害互联网的重大安全威胁之一,引起了研究者的广泛关注。论文通过分析僵尸网络工作过程中各阶段表现出的异常行为特征,提出了基于异常行为监控的僵尸网络发现技术,详细阐述了僵尸网络发现系统的原理及系统框架结构,并对其关键技术进行了设计实现。     

僵尸网络的类型、危害及防范措施

作为一种危害性极强的新型攻击手段,僵尸网络逐步成为互联网最严重的威胁之一。僵尸网络不是一种单一的网络攻击行为,而是一种网络攻击的平台和其他传统网络攻击手段的综合。介绍了僵尸网络的分类及危害,提出了僵尸网络的应对方法与措施,并对僵尸网络的发展进行了探讨。     

Conficker蠕虫传播模型

"飞客"(conficker)蠕虫病毒是近期在全球爆发的以微软的windows操作系统为攻击目标的计算机蠕虫病毒,从爆发至今,感染数量巨大,形成了巨大规模的僵尸网络,对互联网安全形成了巨大的威胁.采用域名重定向技术监测conficker蠕虫的扩散传播,针对其查杀率低,传播周期长的特点,考虑地域、连通性等因素所导致的感染主机传播能力的差异,建立conficker蠕虫传播模型,最后通过真实的conficker蠕虫监测数据验证了模型的有效性.     

On the resilience of P2P botnet footprints in the presence of legitimate P2P traffic

Botnet is a distributed platform for illegal activities severely threaten the security of the Internet. Fortunately, although their complicated nature, bots leave some footprints during the C&C communication that have been utilized by security researchers to design detection mechanisms. Nevertheless, botnet designers are always trying to evade detection systems by leveraging the legitimate P2P protocol as C&C channel or even mimicking legitimate peer‐to‐peer (P2P) behavior. Consequently, detecting P2P botnet in the presence of normal P2P traffic is one of the most challenging issues in network security. However, the resilience of P2P botnet detection systems in the presence of normal P2P traffic is not investigated in most proposed schemes. In this paper, we focused on the footprint as the most essential part of a detection system and presented a taxonomy of footprints utilized in behavioral P2P botnet detection systems. Then, the resilience of mentioned footprints is analyzed using three evaluation scenarios. Our experimental and analytical investigations indicated that the most P2P botnet footprints are not resilient to the presence of legitimate P2P traffic and there is a pressing need to introduce more resilient footprints.     

P2P僵尸网络跨域体系结构的构建与评估

针对现有P2P僵尸网络抗追踪性较差的问题,提出了一种P2P僵尸网络跨域体系结构（CRA）.CRA将僵尸主机间的通信严格限制在不同的域之间,并引入IP伪造技术隐藏通信的源IP.考虑到监控全球互联网的不可行性以及IP溯源的困难性,现实中防御者将很难对CRA展开追踪.模拟实验结果表明,较之当前主流的P2P僵尸网络体系结构,CRA具备更好的抗追踪性和鲁棒性.     

基于Webshell的僵尸网络研究

以Web服务器为控制目标的僵尸网络逐渐兴起,传统命令控制信道模型无法准确预测该类威胁。对传统Webshell控制方式进行改进,提出一种树状拓扑结构的信道模型。该模型具备普适和隐蔽特性,实验证明其命令传递快速可靠。总结传统防御手段在对抗该模型时的局限性,分析该信道的固有脆弱性,提出可行的防御手段。     

基于流角色检测P2P botnet

提出了一种基于流角色的实时检测P2P botnet的模型,该模型从流本身的特性出发,使其在检测P2P botnet时处于不同的角色,以发现P2P botnet的本质异常和攻击异常,同时考虑到了网络应用程序对检测的影响。为进一步提高检测精度,提出了一种基于滑动窗口的实时估算Hurst指数的方法,并采用Kaufman算法来动态调整阈值。实验表明,该模型能有效检测新型P2P botnet。     

基于异常行为特征的僵尸网络检测方法研究

基于僵尸网络通信及网络流量的异常行为,可以有效检测出僵尸频道。介绍了通过对主机响应信息的异常分析,进而判断出当前IRC频道是否为一个僵尸频道的检测算法。由此引入了基于异常行为的僵尸频道检测模型,该模型分类提取IRC频道的主机响应信息,结合检测算法分析得出结论。实验结果验证了该模型的有效性。     

APT多维度分析和防御研究

“APT多维度分析及防御研究”需要遵循两大原则,即“广谱检测”和“精准定位”的策略。所谓“广谱检测”就是设计的检测方法不局限适用于某一特定的类型的僵尸网络、木马或者蠕虫。“精准定位”就是要求检测结果具有较高的准确性,不仅能确定有无,还要定位感染主机。为了满足上面两个原则,需要将多种检测方法整合到一起,多种检测方法在功能上互相补充,在结果上互相印证,才能获得较理想的结果。     

基于量子计算的僵尸网络周期性通信行为检测算法

僵尸网络需要在控制者和受控主机之间维持周期性通信,如果能够有效识别僵尸网络的周期性通信行为,就能够以此为基础实现僵尸网络检测。尽管一些算法提出了基于周期性通信行为的僵尸网络检测方法,但是如何在海量数据中实现僵尸网络的快速检测仍然是一个问题。基于量子计算的僵尸网络周期性通信行为检测算法,是在已有算法的基础上引入量子计算来提高周期性通信检测算法的速度。实验结果表明,改进后的算法与已有算法相比,拥有相同的检测精度,与此同时,能够使用较少的查询次数完成僵尸网络检测,能够有效提高僵尸网络检测的速度。